OpenID登录之去掉yahoo的欺诈警告

当你花了好几天的时间理解了OpenID协议并写好你的OpenID Consumer的程序进行测试的时候，你是否发现了这个现象：使用你的程序所有的OpenID都可以通过认证并且能获取到用户属性，除了Yahoo!的OpenID，而且Yahoo!还出现了下面这段警告。你向你的老板解释：其他的账号都可以认证，只有Yahoo!的账号不行，应该是Yahoo!的服务器出问题了，可能过一段时间就好。然后老板满意的走了，你擦擦头上的汗，晚上加班到深夜去找问题到底出在哪。

Warning: This website has not confirmed its identity with Yahoo! and might be fraudulent. Do not share any personal information with this website unless you are certain it is legitimate.

我可以很负责任的告诉你：这不是Yahoo!的问题，是你的程序出问题了。

不过为什么其他的OpenID可以登录呢？因为其他的OpenID提供者同时支持OpenID1.1与OpenID2.0协议，但是Yahoo!的程序员像我们一样不喜欢考虑兼容性的问题。只支持OpenID2.0协议标准。

那么OpenID2.0协议标准有什么特殊的地方呢？

OpenID2.0中提出了一个新的东西叫做OpenID Relying Party discovery的，我们的问题就出在这个OpenID Relying Party discovery上

先解释一下这个OpenID Relying Party discovery是什么东西。

当你重定向到OpenID提供者站点去请求认证的时候，OpenID提供者会使用这个叫做OpenID Relying Party discovery的机制自动验证return_to的URL处于指定的范围内，并且与OP通过realm参数获取到的XRDS文档中获取到的return_to的URL相同。

我是这么理解的：我的Consumer程序告诉了OP我的return_to地址是什么，但是OP不信任我，要通过我的realm参数(注意：这个地方是OP向RP发出的请求，所以要求你realm参数的url必须是外网的ip地址或者能通过外部的DNS查找到的域名)查找一个基于yadis协议的XRDS文档中的return_to地址，两个return_to地址相比较，如果相同，好，我相信你了，放行。(不知道这样理解有没有问题，我觉得应该没问题吧J)

好，原理理解了。下面我们要做的就是：

1 编写一个XRDS文档保存到你的网站上，存放成什么扩展名的没什么关系，但是你要保证Yahoo或者其他OP获取到这个文档的Content-Type是” application/xrds+xml”，不然他们会认为这个文档不是他们要找的文档。

2 将你第一步编写的XRDS文档的地址公布在你网站的首页，或者你的openid.realm参数指定的页面上(建议)

我们先来编写XRDS文档：(起名xrds.jsp)

<%response.setContentType("application/xrds+xml");%>
<?xml version="1.0" encoding="UTF-8"?> 
<xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid="http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)">
	<XRD>
		<Service xmlns="xri://$xrd*($v*2.0)">
			<Type>http://specs.openid.net/auth/2.0/return_to</Type>
			<URI>http://xxx.xxx.xxx.xxx/openid_returnurl.jsp</URI>
		</Service>
	</XRD>
</xrds:XRDS>

 

或者你也可以这样：

<%@page import="java.io.PrintWriter"%>
<%
	response.setContentType("application/xrds+xml");
	String xrd = "<?xml version=\"1.0\" encoding=\"UTF-8\"?> <xrds:XRDS xmlns:xrds=\"xri://$xrds\" xmlns:openid=\"http://openid.net/xmlns/1.0\" xmlns=\"xri://$xrd*($v*2.0)\">\n"
			+ "<XRD>\n"
			+ "<Service xmlns=\"xri://$xrd*($v*2.0)\">\n"
			+ "<Type>http://specs.openid.net/auth/2.0/return_to</Type>\n"
			+ "<URI>http://uop.wecoo.com/home/openid_returnurl.jsp?login=true</URI>\n"
			+ "</Service>\n" + "</XRD>\n" + "</xrds:XRDS>";
	PrintWriter writer = response.getWriter();
	writer.write(xrd);
%>

 

你的任务就是将URI标签中的URL改成你的return_url

好了，第二步：(将你编写的XRDS文档的地址公布在openid.realm指定的页面或者首页，建议单独写一个页面维护，然后设置openid.realm参数为你创建的这个页面)

在你创建的页面(起名realm.jsp)编写如下代码：

<%response.setHeader("X-XRDS-Location","http:// xxx.xxx.xxx.xxx/xrds.jsp");%>
<html>
	<head>
		<meta http-equiv="X-XRDS-Location" content="http://xxx.xxx.xxx.xxx/xrds.jsp"/>
	</head>
</html>

 

也就是设置response的header或者在<head>标签中设置meta，参数名需要是X-XRDS-Location参数值就是你的xrds文档的地址。这里我们设置双保险。因为Yahoo不认识<meta>，难保别的网站不认识response header。

在重定向认证之前将openid.realm的值设置为authReq.set("openid.realm","http://xxx.xxx.xxx.xxx /realm.jsp");

注意：如果你将X-XRDS-Location设置在其他页面，这个页面唯一要注意的是不能有重定向，不然OpenID服务提供者会获取不到XRDS文档。这个，费那么大劲做了等于没做，所以我们建议单独做一个网页

好了，现在试试还有没有欺诈警告提示。不要告诉我还有哦，呵呵。但是问题又来了，警告是没有了，但是还是获取不到用户属性啊，为什么呢？Yahoo!的这一功能还是处于测试期，现在只有Plaxo,Jyte两个网站能使用这一功能，所以暂时不要考虑这个东西了，回家吧，不用因为这个加班了。

 

评论

2 楼 xxian2012 2013-04-24  

这么多年过去了，这篇文章仍然有用  

1 楼 linkerlin 2010-08-16  

最近也在用openid哎。
我用的也是openid4java.
python和c++的实现都太不靠谱了。